Connecteur Workplace from Facebook (avec Azure Functions) pour Microsoft Sentinel
Le connecteur de données Workplace apporte la capacité d’ingestion d’événements Workplace courants dans Microsoft Sentinel par le biais de webhooks. Les webhooks permettent aux applications d’intégration personnalisées de s’abonner à des événements dans Workplace et de recevoir des mises à jour en temps réel. Quand une modification se produit dans Workplace, une requête HTTPS POST avec des informations d’événement est envoyée à une URL de rappel du connecteur de données. Pour plus d’informations, consultez la documentation des webhooks. Le connecteur permet d’obtenir les événements pour examiner les risques de sécurité potentiels, analyser la collaboration de votre équipe, diagnostiquer les problèmes de configuration, etc.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | Workplace_Facebook_CL |
Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
Pris en charge par | Microsoft Corporation |
Exemples de requête
Événements Workplace – Toutes les activités.
Workplace_Facebook_CL
| sort by TimeGenerated desc
Prérequis
Pour l’intégration de Workplace from Facebook (avec Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : des autorisations d’accès en lecture et en écriture à Azure Functions sont requises pour créer une application de fonction. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
- Informations d’identification/autorisations des webhooks : WorkplaceAppSecret, WorkplaceVerifyToken, Callback URL sont nécessaires pour les webhooks de travail. Consultez la documentation pour en savoir plus sur la configuration des webhooks, la configuration des autorisations.
Instructions d’installation du fournisseur
Notes
Ce connecteur de données utilise Azure Functions basé sur le déclencheur HTTP pour les requêtes POST en attente avec des journaux d’activité pour extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Functions.
Remarque
Ce connecteur de données dépend, pour fonctionner comme prévu, d’un analyseur basé sur une fonction Kusto et déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions et recherchez l’alias WorkplaceFacebook, chargez ensuite le code de fonction ou cliquez ici, sur la deuxième ligne de la requête, entrez le nom d’hôte de chaque appareil Workplace Facebook si vous en avez plusieurs, ainsi que tous les autres identificateurs uniques du flux de journaux. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.
ÉTAPE 1 : Étapes de configuration de Workplace
Suivez les instructions pour configurer des webhooks.
- Connectez-vous à l’espace de travail avec les informations d’identification de l’utilisateur administrateur.
- Dans le panneau d’administration, cliquez sur Integrations.
- Dans la vue All integrations (Toutes les intégrations), cliquez sur Create custom integration (Créer une intégration personnalisée).
- Entrez le nom et le descriptif, puis cliquez sur Create (Créer).
- Dans le panneau Integration details (Détails de l’intégration), affichez App secret (Secret d’application) et copiez-le.
- Dans le panneau Autorisations d’intégration, définissez toutes les autorisations de lecture. Pour plus d’informations, consultez la page d’autorisation.
- Passez maintenant à l’ÉTAPE 2 pour suivre les étapes (répertoriées dans l’option 1 ou 2) et déployer la fonction Azure.
- Entrez les paramètres demandés ainsi qu’un jeton de votre choix. Copiez ce jeton ou notez-le pour l’étape à venir.
- Une fois le déploiement d’Azure Functions terminé correctement, ouvrez la page Application de fonction, sélectionnez votre application, accédez à Fonctions, cliquez sur Obtenir l’URL de la fonction et copiez-la ou notez-la pour l’étape à venir.
- Revenez à Workplace from Facebook. Dans le panneau Configurer des webhooks, sous chaque onglet, définissez l’ URL de rappe sur la même valeur que celle que vous avez copiée au point 9 ci-dessus, et Vérifier le jeton sur la même valeur que celle que vous avez copiée au point 8 ci-dessus, et qui a été obtenue à l’ÉTAPE 2 du déploiement de Azure Functions.
- Cliquez sur Enregistrer.
ÉTAPE 2 – choisir UNE des deux options de déploiement suivantes pour déployer le connecteur et le Azure Functions associé
IMPORTANT : Avant de déployer le connecteur de données Workplace, assurez-vous de disposer de l’ID et de la clé primaire de l’espace de travail (vous pouvez les copier à partir des informations ci-après).
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.